Menü
Avatar von roflolol
  • roflolol

372 Beiträge seit 13.05.2015

"Sichere" Cloud Speicher. Eine Bewertung der Alternativen zu Wuala von LaCie.

Hallo Community.



Wuala, der Cloudspeicherdienst von LaCie wird eingestellt.
Damit stellt sich für viele Leute die Frage nach ähnlich sicheren Alternativen.

Aus diesem Grund habe ich mir die Angebote aller Anbieter von Cloudspeichern angesehen, die ich finden konnte.

Von vornherein lasse ich hier alle Anbieter aus, deren Sicherheit nicht an die aktuelle Sicherheit von Wuala heranreicht und betrachte lediglich die Übriggebliebenen.
Bei meiner Betrachtung konzentriere ich mich vor allem auf offensichtliche Sicherheitsrisiken, ich habe weder deren Code noch deren Datenströme analysiert.
Je weniger ich also zu einem der Unternehmen schreibe, desto besser bewerte ich es. Das ist zwar eine sehr destruktive Art der Bewertung, was mir eigentlich widerstrebt, aber beim Thema Datensicherheit kann nun mal ein einziger Flaw genügen, damit alle anderen Sicherheitsvorkehrungen unwirksam werden.

Hier meine Betrachtung der übriggebliebenen Anbieter (in alphabetischer Reihenfolge):



http://www.hornetdrive.com
Ein Anbieter aus und in Deutschland.
Für Kunden außerhalb Deutschlands würde ich diesen empfehlen.



https://www.jottacloud.com
Ein Anbieter aus und in Norwegen.
Der Anbieter könnte Daten theoretisch einsehen.
Ich führe Jottacloud hier aber dennoch auf, da in Norwegen die Privatsphäreregelungen sehr streng sind und ein gesellschaftliches Tabu, manchmal größere Hürden bietet als physische Hindernisse.
Während das Tabu unter Umständen besser vor staatlichem Zugriff schützt als eine individuelle Verschlüsselung, schützt einen die individuelle Verschlüsselung sicherlich besser vor einem Hackerangriff auf den Serverbetreiber, als das Tabu.
Die Maßnahmen zur Verschlüsselung müsste man also selbst noch Treffen. Aber auch dieser Software muss man dann wieder vertrauen können.
Für Kunden welche willens und dazu in der Lage sind, sich den zusätzlichen Aufwand zu machen, TrueCrypt einzurichten (http://www.heise.de/forum/heise-Security/Kommentare/Truecrypt-ist-unsicher-und-jetzt/Letzte-echte-Version-TC-7-1a-auf-c-t-Software-Kollektion/thread-417438/#posting_2138865), würde ich diesen Anbieter empfehlen.



http://www.securesafe.com
Ein Anbieter aus und in der Schweiz.
Für Kunden außerhalb der Schweiz würde ich diesen Anbieter empfehlen.



https://tresorit.com
Ein Anbieter aus ... woher eigentlich?
Laut eigenen Angaben kommen sie aus der Schweiz und nutzen Rechenzentren in Europa. Sie verwenden auch ein Schweizer Zertifikat und haben dort eine Adresse.

Aber das war's dann auch. Ab hier beginnen die Ungereimtheiten.

Der größte Teil des Teams ist in Ungarn angesiedelt, während der Netzwerkverkehr zu ihrem Webserver in Microsofts Azure Datacenter in Dublin verschwindet.

Damit ist meine Bewertung von Tresorit auch schon beendet, denn dass sie eine US Firma mit Userdaten betrauen würden (wenn auch verschlüsselt), genügt mir bereits ihnen nicht zu vertrauen.

Exkurs: Microsoft hat zwar genau wegen dieser Ressentiments "Microsoft Europe" gegründet, jedoch solange Microsofts Hauptsitz und Entwicklung in Redmond sind, werden sie sich wohl erst von dem Verdacht lösen können, mit der NSA zusammenzuarbeiten, wenn sie ihre Quellcodes offen legen.



https://www.yoursecurecloud.de
Ein Anbieter aus und in Deutschland.
Verwendet nach eigenen Angaben die OpenSource Cloudprovidersoftware "SeaFile". Das ist zwar von der Sicherheit her gut, damit kommt aber auch ein Flaw der sich in einem kleinen Sternchen auf der Seite des Betreibers äußert.
In einem Paragraphen zur Sicherheit von "yoursecurecloud" steht nämlich:
"Ihre Daten werden noch bevor diese über das Internet übertragen werden auf Ihrem Gerät verschlüsselt*."
Und weiter unten:
"*Nur in Abhängigkeit von verschlüsselten Bibliotheken. Diese können Sie bei der Einrichtung anlegen und ein seperates Passwort vergeben. Bei Zugriff über das Webinterface, dem mobilen Client und dem Cloud-Browser ist derzeit vereinzelt keine vollständige client-seitige Verschlüsselung gegeben. Dies betrifft nicht die verschlüsselte SSL-Übertragung aller Dateien."



Mit besten Grüße,
roflolol.





P.s.:
Ich möchte allerdings klar stellen, dass die Sicherheit von Wuala, bevor es an Seagate verkauft wurde, seither nicht mehr erreicht wird.
Dazu ein kurzer (vereinfachter) Exkurs in die Verschlüsselungstheorie:
Man kann sagen, eine verschlüsselte Datei entspricht einem komplizierten Gleichungssystem. Wer die richtigen Werte für die vorhandenen Variablen kennt kann es lösen, also die Datei lesen.
Um ein Gleichungssystem zu lösen, bedarf es einer Mindestzahl an Gleichungen. Hat man weniger als das, ist das Gleichungssystem "unterdefiniert" und man muss Lösungen raten. Bei einer fehlenden Variable ist das noch möglich, fehlen viele Variablen wird es praktisch unmöglich.
So ergibt es sich, dass man zum Entschlüsseln einer Datei, abhängig vom Verschlüsselungsalgorytmus und vom verwendeten Passwort, eine Mindestgröße an zusammenhängenden Daten benötigt.

Vor seinem Verkauf, hatte Wuala nach dem lokalen Verschlüsseln und vor dem hoch Laden, die Verschlüsselten Dateien aufgeteilt und zwar in Dateifragmente von jeweils einem Drittel dieser Mindestgröße.
Diese Dateifragmente wurden dann auf Server in 3 unterschiedlichen Ländern hoch geladen. So wurde sicher gestellt, dass die Dateien selbst mit Passwort auch dann nicht entschlüsselt werden hätten können, wenn jemand der Dateifragmente in zweien der Länder habhaft geworden wäre.

Mir ist nicht ganz klar, weshalb das seither von keinem mehr implementiert wird. Diverse Anbieter werben mit dem Rechtssystem an ihren Serverstandorten, aber besser wäre es doch die Sicherheit der diversen Rechtssysteme zu kombinieren und die Dateien auf Server unterschiedlichen Ländern aufzuteilen.
Hat jemand Informationen dazu?



P.p.s.:
Zu SeaFile: die Entwicklergemeinde ist über die Welt verteilt. Überraschender Weise kommen zwar ein Großteil der Entwickler aus China, da SeaFile aber mit der Humboldt Universität in Berlin zusammenarbeitet, ist die Wahrscheinlichkeit sehr hoch, dass man dort Hintertüren bemerkt hätte.

Das Posting wurde vom Benutzer editiert (21.08.2015 12:59).

Bewerten
- +
Anzeige